部署適用於 IoT 的 Defender 以進行 OT 監視
本文說明部署適用於 IoT 的 Defender 以進行 OT 監視所需的高階步驟。 深入了解下列各節中的每個部署步驟,包括可取得更多詳細資訊的相關交互參考。
下圖顯示端對端 OT 監視部署路徑中的各個階段,以及每個階段的負責小組。
雖然小組和職稱在不同組織中可能有所不同,但所有適用於 IoT 的 Defender 部署都需要人員負責針對網路和基礎結構的不同區域進行相互溝通。
提示
流程中的每個步驟所需時間可能不同。 例如,下載 OT 感應器啟用檔案可能需要五分鐘,而設定流量監視可能需要數天甚至數週,視組織的流程而定。
建議您開始每個步驟的流程,不必等待一個步驟完成才繼續進行下一個步驟。 請務必持續追蹤仍在處理中的任何步驟,確保完成這些步驟。
必要條件
開始規劃 OT 監視部署之前,請確定您有 Azure 訂用帳戶和適用於 IoT 的 Defender 已上線 OT 方案。
如需詳細資訊,請參閱啟動適用於 IoT 的 Microsoft Defender 試用版。
規劃和準備
下圖顯示規劃和準備階段中包含的步驟。 規劃和準備的步驟由您的結構小組處理。
規劃 OT 監視系統
規劃監視系統的基本詳細資料,例如:
網站和區域:利用可以代表世界各地位置的「網站」和「區域」,決定如何分割您想要監視的網路。
感應器管理:決定將使用雲端連線或實體隔離斷網且本機管理的 OT 感應器,或是兩者的混合式系統。 如果您使用雲端連線感應器,請選取連線方法,例如直接連線或透過 Proxy 連線。
使用者和角色:每個感應器所需使用者類型及每個活動所需角色類型的清單。
如需詳細資訊,請參閱使用適用於 IoT 的 Defender 規劃 OT 監視系統。
提示
如果您使用數個本機管理的感應器,您可能也想要部署內部部署管理主控台進行集中的可見度和管理。
準備 OT 網站部署
針對系統所規劃的每個網站定義其他詳細資料,包括:
網路圖表。 識別您想要監視的所有裝置,然後建立完善定義的子網路清單。 部署感應器之後,請利用此表確認適用於 IoT 的 Defender 已涵蓋您想要監視的所有子網路。
感應器清單:使用您想要監視的流量、子網路和裝置清單,建立您所需 OT 感應器及其在網路中放置位置的清單。
流量鏡像方法:針對每個 OT 感應器選擇流量鏡像方法,例如 SPAN 連接埠或 TAP。
設備:準備部署工作站和任何硬體或 VM 設備,您將用於您所規劃的每個 OT 感應器。 如果您要使用預先設定的設備,請務必訂購這些設備。
如需詳細資訊,請參閱準備 OT 網站部署。
將感應器上線至 Azure
下圖顯示將感應器上線階段中包含的步驟。 感應器由您的部署小組上線至 Azure。
在 Azure 入口網站將感應器上線
依您規劃的數量,將 OT 感應器上線至適用於 IoT 的 Defender。 請務必下載針對每個 OT 感應器提供的啟用檔案,並將其儲存在可從感應器機器存取的位置。
如需詳細資訊,請參閱將 OT 感應器上線至適用於 IoT 的 Defender。
網站網路設定
下圖顯示網站網路設定階段中包含的步驟。 網站網路步驟由您的連線小組處理。
設定網路中的流量鏡像
請利用您稍早建立的計劃,在您將部署 OT 感應器並將流量鏡像至適用於 IoT 的 Defender 的網路位置,設定流量鏡像。
如需詳細資訊,請參閱
- 使用交換器 SPAN 連接埠設定鏡像
- 使用遠端 SPAN (RSPAN) 連接埠設定流量鏡像
- 設定主動和被動彙總 (TAP)
- 更新感應器的監視介面 (設定 ERSPAN)
- 使用 ESXi vSwitch 設定流量鏡像
- 使用 Hyper-V vSwitch 設定流量鏡像
針對雲端管理進行佈建
設定任何防火牆規則以確保您的 OT 感應器設備能夠存取 Azure 雲端上適用於 IoT 的 Defender。 如果您規劃透過 Proxy 連線,則只能在安裝感應器之後設定這些設定。
若是規劃為實體隔離斷網,而且直接在感應器主控台或透過內部部署管理主控台進行本機管理的任何 OT 感應器,請略過此步驟。
如需詳細資訊,請參閱為雲端管理佈建 OT 感應器。
部署 OT 感應器
下圖顯示感應器部署階段中包含的步驟。 OT 感應器由您的部署小組部署和啟用。
安裝 OT 感應器
如果您要在自己的設備上安裝適用於 IoT 的Defender 軟體,請從 Azure 入口網站下載安裝軟體,然後在 OT 感應器設備上安裝軟體。
安裝 OT 感應器軟體之後,請執行數個檢查以驗證安裝和設定。
如需詳細資訊,請參閱
如果您購買預先設定的設備,請略過這些步驟。
啟用 OT 感應器和初始設定
利用初始設定精靈確認網路設定、啟用感應器,以及套用 SSH/TLS 憑證。
如需詳細資訊,請參閱設定並啟用 OT 感應器。
設定 Proxy 連線
如果您已決定使用 Proxy 將感應器連線至雲端,請在感應器上設定 Proxy 並進行設定。 如需詳細資訊,請參閱在 OT 感應器上設定 Proxy 設定。
在下列情況下,請略過此步驟:
- 若是直接連線至 Azure 不需要 Proxy 的任何 OT 感應器
- 若是規劃為實體隔離斷網,而且直接在感應器主控台或透過內部部署管理主控台進行本機管理的任何 OT 感應器。
設定選擇性設定
建議您設定 Active Directory 連線來管理 OT 感應器上的內部部署使用者,以及透過 SNMP 設定感應器的健康情況監視。
如果您未在部署期間設定這些設定,您也可以稍後返回並加以設定。
如需詳細資訊,請參閱
校正和微調 OT 監視
下圖顯示使用新部署的感應器校正和微調 OT 監視的相關步驟。 校正和微調活動由您的部署小組完成。
在感應器上控制 OT 監視
根據預設,您的 OT 感測器可能不會偵測到您想要監視的確切網路,或是精確識別您想要查看的網路顯示方式。 請利用您稍早建立的清單,驗證並手動設定子網路、自訂連接埠和 VLAN 名稱,以及視需要設定 DHCP 位址範圍。
如需詳細資訊,請參閱控制透過適用於 IoT 的 Microsoft Defender 監視的 OT 流量。
確認並更新偵測到的裝置清查
偵測到全部的裝置之後,請檢閱裝置清查,並視需要修改裝置詳細資料。 例如,您可以識別可以合併的重複裝置項目,要修改的裝置類型或其他屬性等等。
如需詳細資訊,請參閱確認並更新偵測到的裝置清查。
學習 OT 警示以建立網路基準
OT 感應器觸發的警示可能包含數個您視為授權流量,想要定期忽略或「學習」的警示。
檢閱系統中做為初始分級的所有警示。 此步驟會建立網路流量基準,以供適用於 IoT 的 Defender 後續使用。
如需詳細資訊,請參閱建立已學習的 OT 警示基準。
結束基準學習
只要偵測到新的流量而且有未處理的警示,您的 OT 感應器就會保持在「學習模式」。
結束基準學習後,您便完成 OT 監視部署流程,您後續會以操作模式持續監控。 在操作模式下,與基準資料不同的任何活動都會觸發警示。
提示
如果您覺得適用於 IoT 的 Defender 中目前的警示能準確地反映網路流量,而學習模式尚未自動結束,則請手動關閉學習模式。
將適用於 IoT 的 Defender 資料連線至 SIEM
部署適用於 IoT 的 Defender 之後,藉由整合適用於 IoT 的 Defender 與安全性資訊與事件管理 (SIEM) 平台和現有的 SOC 工作流程和工具,傳送安全性警示並管理 OT/IoT 事件。 藉由整合 Microsoft Sentinel 並利用適用於 IoT 的 Microsoft Defender 現成可用解決方案,或是藉由建立轉送規則以轉送至其他 SIEM 系統,整合適用於 IoT 的 Defender 警示與您組織的 SIEM。 適用於 IoT 的 Defender 會整合現成可用的 Microsoft Sentinel 以及各種 SIEM 系統,例如 Splunk、IBM QRadar、LogRhythm、Fortinet 等等。
如需詳細資訊,請參閱
- 企業 SOC 中的 OT 威脅監視
- 教學課程:使用 Microsoft Sentinel 連線適用於 IoT 的 Microsoft Defender
- 將內部部署 OT 網路感應器連線至 Microsoft Sentinel
- 與 Microsoft 和合作夥伴服務的整合
- 將適用於 IoT 的 Defender 雲端警示串流至合作夥伴 SIEM
將適用於 IoT 的 Defender 警示與 SIEM 整合之後,我們建議採取下列後續步驟,讓 OT/IoT 警示能夠運作,並與現有的 SOC 工作流程和工具完全整合:
根據特定的 OT 需求和環境,識別並定義您想要監視的相關 IoT/OT 安全性威脅和 SOC 事件。
在 SIEM 中建立偵測規則和嚴重性層級。 只觸發相關的事件,進而減少不必要的雜訊。 例如,從未經授權的裝置或在工作時間之外執行的 PLC 程式碼變更,由於此特定警示的高精確度,您會定義為高嚴重性事件。
在 Microsoft Sentinel,適用於 IoT 的 Microsoft Defender 包括一組現成可用的偵測規則,專為適用於 IoT 的 Defender 資料建置,協助您微調在 Microsoft Sentinel 中建立的事件。
定義適當的風險降低工作流程,針對每個使用案例建立自動化調查劇本。 在 Microsoft Sentinel,適用於 IoT 的 Microsoft Defender 包括自動化回應適用於 IoT 的 Defender 警示的現成可用劇本。
下一步
現在您已了解 OT 監視系統部署步驟,您可以隨時開始使用!